{"id":1808,"date":"2026-02-20T06:00:00","date_gmt":"2026-02-20T12:00:00","guid":{"rendered":"https:\/\/hacking.onesec.mx\/?p=1808"},"modified":"2026-02-19T21:56:11","modified_gmt":"2026-02-20T03:56:11","slug":"email-spoofing-el-correo-que-simular-ser-enviado-por-ti-mismo","status":"publish","type":"post","link":"https:\/\/hacking.onesec.mx\/index.php\/2026\/02\/email-spoofing-el-correo-que-simular-ser-enviado-por-ti-mismo\/","title":{"rendered":"Email Spoofing: El correo que simula ser enviado por ti mismo"},"content":{"rendered":"\n

Abres tu bandeja de entrada y encuentras algo perturbador: un correo enviado desde tu propia direcci\u00f3n. T\u00fa no lo escribiste. No reconoces el contenido. Pero ah\u00ed est\u00e1, con tu nombre, tu dominio, tu direcci\u00f3n exacta como remitente. Tu primera reacci\u00f3n es pensar que te hackearon la cuenta. Cambias la contrase\u00f1a. Activas la verificaci\u00f3n en dos pasos. Revisas los dispositivos conectados. Todo parece normal. Nadie entr\u00f3 a tu cuenta. Entonces, \u00bfc\u00f3mo es posible que alguien env\u00ede correos desde tu direcci\u00f3n sin tener acceso a ella? La respuesta es m\u00e1s simple y aterradora de lo que imaginas: nunca necesitaron tu contrase\u00f1a. El protocolo de correo electr\u00f3nico que usamos desde hace 40 a\u00f1os simplemente no verifica qui\u00e9n dice ser el remitente.<\/p>\n\n\n\n

La Amenaza Invisible en Tu Bandeja de Entrada<\/h2>\n\n\n\n

El email spoofing es una t\u00e9cnica de suplantaci\u00f3n de identidad donde un atacante falsifica la direcci\u00f3n del remitente para hacer que un correo electr\u00f3nico parezca provenir de alguien m\u00e1s. El t\u00e9rmino viene del ingl\u00e9s “spoof”, que significa falsificar o enga\u00f1ar. Lo que hace particularmente peligrosa esta t\u00e9cnica es que el protocolo SMTP, el est\u00e1ndar principal para el env\u00edo de correos electr\u00f3nicos desde los a\u00f1os 80, no incorpora mecanismos de autenticaci\u00f3n del remitente. Esto significa que cualquier persona con conocimientos t\u00e9cnicos b\u00e1sicos puede manipular las cabeceras de un correo para que aparezca como enviado desde cualquier direcci\u00f3n.<\/p>\n\n\n\n

Los ataques de Business Email Compromise aumentaron un 15% en 2025 comparado con el a\u00f1o anterior, seg\u00fan datos de LevelBlue SpiderLabs. El FBI recibi\u00f3 193,407 reportes de phishing y spoofing en 2024, mientras que el Anti-Phishing Working Group registr\u00f3 m\u00e1s de un mill\u00f3n de ataques de phishing solo en el primer trimestre de 2025, la cifra trimestral m\u00e1s alta desde 2023.<\/p>\n\n\n\n

C\u00f3mo Funciona el Ataque<\/h2>\n\n\n\n

El email spoofing puede presentarse de varias formas. En el escenario m\u00e1s com\u00fan, los usuarios reciben correos de contactos conocidos en quienes conf\u00edan. El mensaje puede incluir solicitudes urgentes de transferencias, cambios en datos bancarios de proveedores, o enlaces a sitios maliciosos. Debido a que el remitente aparenta ser leg\u00edtimo, las v\u00edctimas bajan la guardia.<\/p>\n\n\n\n

Otra variante ocurre cuando los usuarios reciben correos fraudulentos enviados aparentemente desde su propia direcci\u00f3n. Estos suelen contener amenazas de extorsi\u00f3n, alegando que el atacante tiene acceso a su cuenta o informaci\u00f3n comprometedora. Un tercer escenario afecta a empresas cuyas direcciones son utilizadas para atacar a terceros, da\u00f1ando su reputaci\u00f3n sin siquiera saberlo.<\/p>\n\n\n\n

El proceso t\u00e9cnico es sorprendentemente simple. El atacante modifica los campos de la cabecera del correo, espec\u00edficamente el campo “From”, para mostrar cualquier direcci\u00f3n de su elecci\u00f3n. El servidor receptor, sin mecanismos de validaci\u00f3n configurados, acepta el mensaje como leg\u00edtimo. El 40% de los correos BEC en el segundo trimestre de 2025 fueron generados con inteligencia artificial, lo que ha reducido los errores gramaticales que tradicionalmente delataban estos fraudes.<\/p>\n\n\n\n

\"Email<\/figure>\n\n\n\n

El Costo Real Para Las Organizaciones<\/h2>\n\n\n\n

Las cifras son contundentes. El costo promedio de una brecha de datos relacionada con phishing alcanza los $4.88 millones de d\u00f3lares. El FBI estima que las p\u00e9rdidas por BEC en los \u00faltimos tres a\u00f1os superan los $8.5 mil millones de d\u00f3lares. Un caso documentado involucr\u00f3 a una empresa de construcci\u00f3n en Nueva York que perdi\u00f3 $50 millones de d\u00f3lares en un solo incidente BEC. En otro caso, un despacho inmobiliario transfiri\u00f3 $4.9 millones a una cuenta en Hong Kong controlada por atacantes, despu\u00e9s de recibir una factura fraudulenta desde la cuenta comprometida de un proveedor.<\/p>\n\n\n\n

El 79% de las empresas han enfrentado al menos un ataque BEC en el \u00faltimo a\u00f1o. Las peque\u00f1as y medianas empresas son particularmente vulnerables, representando el 41% de todos los ataques BEC. Los sectores m\u00e1s afectados incluyen finanzas, salud, manufactura y bienes ra\u00edces.<\/p>\n\n\n\n

C\u00f3mo Identificar un Correo Falsificado<\/h2>\n\n\n\n

Verificar la autenticidad de un correo requiere examinar sus cabeceras, algo que la mayor\u00eda de los usuarios nunca hace. En Gmail, abre el correo, haz clic en los tres puntos verticales en la esquina superior derecha y selecciona “Mostrar original”. Busca las l\u00edneas que comienzan con “Received:” para rastrear la ruta real del mensaje. En Outlook, haz clic derecho en el mensaje, selecciona “Opciones de mensaje” y revisa el campo “Cabecera de Internet”.<\/p>\n\n\n\n

Las se\u00f1ales de alerta incluyen solicitudes urgentes que generan presi\u00f3n para actuar sin verificar, cambios inesperados en datos bancarios o instrucciones de pago, direcciones de respuesta diferentes a la direcci\u00f3n del remitente, y discrepancias sutiles en el dominio del correo. Los atacantes frecuentemente usan dominios similares como “empresa-mx.com” en lugar de “empresa.mx”, o sustituyen caracteres como la letra “l” por el n\u00famero “1”.<\/p>\n\n\n\n

\"Email<\/figure>\n\n\n\n

La Defensa T\u00e9cnica: SPF, DKIM y DMARC<\/h2>\n\n\n\n

La protecci\u00f3n contra email spoofing requiere implementar tres protocolos de autenticaci\u00f3n que trabajan en conjunto. SPF (Sender Policy Framework) permite a los propietarios de dominios especificar qu\u00e9 servidores est\u00e1n autorizados para enviar correos en su nombre. Esta informaci\u00f3n se publica como un registro TXT en el DNS del dominio. Cuando un servidor recibe un correo, puede verificar si el servidor de origen est\u00e1 en la lista autorizada.<\/p>\n\n\n\n

DKIM (DomainKeys Identified Mail) a\u00f1ade una firma digital criptogr\u00e1fica a cada correo enviado. El servidor receptor puede verificar esta firma contra una clave p\u00fablica publicada en el DNS del dominio, confirmando que el mensaje no fue alterado en tr\u00e1nsito y que fue autorizado por el dominio remitente.<\/p>\n\n\n\n

DMARC (Domain-based Message Authentication, Reporting and Conformance) une ambos protocolos y a\u00f1ade pol\u00edticas de acci\u00f3n. Permite al propietario del dominio especificar qu\u00e9 hacer con correos que fallen las verificaciones SPF o DKIM: entregarlos normalmente, enviarlos a spam, o rechazarlos completamente. DMARC tambi\u00e9n genera reportes que permiten monitorear intentos de suplantaci\u00f3n.<\/p>\n\n\n\n

A partir de 2024-2025, proveedores como Google y Yahoo han hecho obligatorio DMARC para remitentes de correo masivo. Sin embargo, muchas organizaciones a\u00fan no lo han implementado o lo tienen configurado en modo de monitoreo sin aplicar pol\u00edticas de rechazo.<\/p>\n\n\n\n

Medidas de Protecci\u00f3n Inmediatas<\/h2>\n\n\n\n

Para usuarios individuales, la primera l\u00ednea de defensa es la verificaci\u00f3n directa. Ante cualquier solicitud inusual de transferencias o cambios en datos de pago, contacta directamente a la persona por otro medio, nunca respondiendo al mismo correo. Evita hacer clic en enlaces o abrir archivos adjuntos de correos sospechosos, incluso si parecen venir de contactos conocidos. Mant\u00e9n actualizado tu software y utiliza autenticaci\u00f3n multifactor en todas tus cuentas de correo.<\/p>\n\n\n\n

Para organizaciones, implementar SPF, DKIM y DMARC es fundamental. Establece procesos de verificaci\u00f3n para cualquier solicitud de transferencia que incluyan confirmaci\u00f3n por un segundo canal. Capacita regularmente a tu personal para reconocer se\u00f1ales de phishing y BEC. Configura filtros de correo para marcar mensajes externos que intenten suplantar direcciones internas. Y considera implementar soluciones de seguridad de correo que utilicen an\u00e1lisis de comportamiento e inteligencia artificial para detectar anomal\u00edas.<\/p>\n\n\n\n

\u00bfTu Organizaci\u00f3n Est\u00e1 Protegida?<\/h2>\n\n\n\n

En ONESEC realizamos evaluaciones de seguridad de correo electr\u00f3nico que incluyen pruebas de spoofing, verificaci\u00f3n de configuraci\u00f3n SPF\/DKIM\/DMARC, y simulaciones de phishing para medir la resiliencia de tu equipo ante estos ataques. Si quieres saber qu\u00e9 tan vulnerable est\u00e1 tu organizaci\u00f3n al email spoofing y BEC, cont\u00e1ctanos en onesec.mx.<\/p>\n\n\n\n

\n\n\n\n

Referencias<\/h2>\n\n\n\n

INCIBE<\/strong> \u2013 Email spoofing: cuando el correo parece haber sido enviado por m\u00ed o alguien conocido. Recuperado el 18 de febrero de 2026 de https:\/\/www.incibe.es\/ciudadania\/blog\/email-spoofing-cuando-el-correo-parece-haber-sido-enviado-por-mi-o-alguien-conocido<\/a><\/p>\n\n\n\n

FBI Internet Crime Complaint Center (IC3)<\/strong> \u2013 2024 Annual Report. Recuperado el 18 de febrero de 2026 de https:\/\/www.nacha.org\/news\/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years<\/a><\/p>\n\n\n\n

LevelBlue SpiderLabs<\/strong> \u2013 BEC Email Trends: Attacks up 15% in 2025. Recuperado el 18 de febrero de 2026 de https:\/\/www.levelblue.com\/blogs\/spiderlabs-blog\/bec-email-trends-attacks-up-15-in-2025\/<\/a><\/p>\n\n\n\n

Cloudflare<\/strong> \u2013 What are DMARC, DKIM, and SPF? Recuperado el 18 de febrero de 2026 de https:\/\/www.cloudflare.com\/learning\/email-security\/dmarc-dkim-spf\/<\/a><\/p>\n\n\n\n

Hoxhunt<\/strong> \u2013 Business Email Compromise Statistics 2026. Recuperado el 18 de febrero de 2026 de https:\/\/hoxhunt.com\/blog\/business-email-compromise-statistics<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Abres tu bandeja de entrada y encuentras algo perturbador: un correo enviado desde tu propia direcci\u00f3n. T\u00fa no lo escribiste. No reconoces el contenido. Pero ah\u00ed est\u00e1, con tu nombre, tu dominio, tu direcci\u00f3n exacta como remitente. Tu primera reacci\u00f3n es pensar que te hackearon la cuenta. Cambias la contrase\u00f1a. Activas la verificaci\u00f3n en dos […]<\/p>\n","protected":false},"author":4,"featured_media":1818,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21,20,6,13,4,14,5],"tags":[],"class_list":["post-1808","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberinteligencia","category-osint","category-pentest-2","category-phishing","category-pentest","category-ransomware","category-seguridad-de-la-informacion"],"_links":{"self":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1808","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/comments?post=1808"}],"version-history":[{"count":7,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1808\/revisions"}],"predecessor-version":[{"id":1821,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/posts\/1808\/revisions\/1821"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media\/1818"}],"wp:attachment":[{"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/media?parent=1808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/categories?post=1808"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacking.onesec.mx\/index.php\/wp-json\/wp\/v2\/tags?post=1808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}